Domača » kako » Kako posodobiti Windows Server Cipher Suite za boljšo varnost

    Kako posodobiti Windows Server Cipher Suite za boljšo varnost

    Zaženite ugledno spletno stran, ki jo lahko zaupajo vaši uporabniki. Prav? Morda boste želeli to še enkrat preveriti. Če se vaše spletno mesto izvaja v Microsoftovih informacijskih storitvah (IIS), boste morda presenetili. Ko se uporabniki poskusijo povezati s strežnikom prek varne povezave (SSL / TLS), jim morda ne zagotavljate varne možnosti.

    Zagotavljanje boljšega paketa za kodo je brezplačno in zelo preprosto. Samo sledite tem navodilom po korakih, da zaščitite svoje uporabnike in strežnik. Naučili se boste tudi, kako preizkusiti storitve, ki jih uporabljate, da vidite, kako varne so v resnici.

    Zakaj so vaši paketi za kodiranje pomembni

    Microsoftov IIS je precej velik. Oboje je enostavno nastaviti in vzdrževati. Ima uporabniku prijazen grafični vmesnik, ki omogoča preprosto konfiguracijo. Deluje v sistemu Windows. IIS resnično veliko dela za to, vendar resnično pade, ko gre za varnostne privzete nastavitve.

    Tako deluje varna povezava. Vaš brskalnik sproži varno povezavo s spletnim mestom. To je najlažje prepoznati z naslovom URL, ki se začne z »HTTPS: //«. Firefox ponuja majhno ikono ključavnice, ki še dodatno ponazarja to točko. Chrome, Internet Explorer in Safari imajo vse podobne metode, s katerimi lahko obvestite, da je vaša povezava šifrirana. Strežnik, s katerim vzpostavljate povezavo, odgovarja brskalniku s seznamom možnosti šifriranja, ki jih lahko izberete po vrstnem redu najbolj priljubljenih kot najmanj priljubljenih. Vaš brskalnik se spusti po seznamu, dokler ne najde možnosti šifriranja, ki ji je všeč. Ostalo, kot pravijo, je matematika. (Nihče ne pravi tega.)

    Usodna napaka v tem je, da niso vse možnosti šifriranja ustvarjene enako. Nekateri uporabljajo res odlične algoritme za šifriranje (ECDH), drugi so manj dobri (RSA), nekateri pa so le slabo svetovani (DES). Brskalnik se lahko poveže s strežnikom s katero koli možnostjo, ki jo nudi strežnik. Če vaše spletno mesto ponuja nekatere možnosti ECDH, pa tudi nekatere možnosti DES, se bo vaš strežnik priključil tudi na. Zaradi preprostega ponujanja teh slabih možnosti šifriranja je vaše spletno mesto, strežnik in uporabniki potencialno ranljivi. Na žalost IIS ponuja nekaj zelo slabih možnosti. Ni katastrofalno, ampak zagotovo ni dobro.

    Kako videti, kje stojiš

    Preden začnemo, boste morda želeli vedeti, kje stoji vaše spletno mesto. K sreči dobri ljudje v Qualysu nudijo vsem SSL Labs brezplačno. Če greste na https://www.ssllabs.com/ssltest/, lahko vidite, kako se vaš strežnik odziva na zahteve HTTPS. Ogledate si lahko tudi, kako redno uporabljate storitve, ki jih uporabljate.

    Ena opomba tukaj. Samo zato, ker spletno mesto ne prejme ocene A, to ne pomeni, da ljudje, ki jih vodijo, delajo slabo delo. SSL Labs zavira RC4 kot šibek šifrirni algoritem, čeprav ni znanih napadov. Res je, da je manj odporen na poskuse s surovo silo kot nekaj podobnega kot RSA ali ECDH, vendar to ni nujno slabo. Spletna stran lahko ponudi možnost povezave RC4 zaradi nujnosti združljivosti z nekaterimi brskalniki, zato uporabite uvrstitve mest kot vodilo, ne izjavo o varnosti ali pomanjkanju le-tega..

    Posodabljanje paketa Cipher Suite

    Pokrili smo ozadje, zdaj pa umazanimo roke. Posodabljanje zbirke možnosti, ki jih ponuja vaš strežnik Windows, ni nujno preprosto, vendar definitivno ni težko.

    Če želite začeti, pritisnite tipko Windows + R, da odprete pogovorno okno »Zaženi«. Vnesite »gpedit.msc« in kliknite »V redu«, da zaženete urejevalnik pravilnika skupine. Tukaj bomo naredili spremembe.

    Na levi strani razširite možnost Konfiguracija računalnika, Skrbniške predloge, Omrežje in kliknite Nastavitve konfiguracije SSL.

    Na desni strani dvakrat kliknite na ukaz SSL Cipher Suite.

    Privzeto je izbran gumb »Not Configured«. Kliknite gumb »Omogočeno«, če želite urediti strežnikove zbirke Cipher.

    Polje SSL Cipher Suites bo zapolnilo besedilo, ko kliknete gumb. Če želite videti, kaj ponuja strežnik Cipher Suites, ga kopirajte iz polja SSL Cipher Suites in ga prilepite v beležnico. Besedilo bo v enem dolgem, neprekinjenem nizu. Vsaka od možnosti šifriranja je ločena z vejico. Če postavite vsako možnost v svojo vrstico, bo seznam lažje prebral.

    Lahko pregledate seznam in dodate ali odstranite vsebino svojega srca z eno omejitvijo; seznam ne sme biti daljši od 1023 znakov. To je še posebej moteče, ker imajo zbirke šifer dolga imena, kot so "TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384_P384", zato skrbno izberite. Priporočam uporabo seznama, ki ga pripravi Steve Gibson na strani GRC.com: https://www.grc.com/miscfiles/SChannel_Cipher_Suites.txt.

    Ko ste uredili seznam, ga morate formatirati za uporabo. Tako kot izvirni seznam, mora biti vaš novi en nepretrgan niz znakov, pri čemer je vsaka šifra ločena z vejico. Kopirajte oblikovano besedilo in ga prilepite v polje SSL Cipher Suites in kliknite V redu. Končno, da bi spremenili palico, morate ponovno zagnati računalnik.

    Ko se strežnik ponovno vzpostavi in ​​začne delovati, nadaljujte s SSL Labs in ga preizkusite. Če je vse potekalo dobro, bi morali rezultati dati oceno A.

    Če želite nekaj bolj vizualnega, lahko namestite IIS Crypto z Nartac (https://www.nartac.com/Products/IISCrypto/Default.aspx). Ta aplikacija vam omogoča, da naredite enake spremembe kot zgoraj opisane korake. Prav tako vam omogoča, da omogočite ali onemogočite šifre, ki temeljijo na različnih merilih, tako da vam ni treba ročno pregledovati.

    Ne glede na to, kako to naredite, je posodobitev Cipher Suites enostaven način za izboljšanje varnosti za vas in vaše končne uporabnike.